netstat 建立是否意味着有人通过 ssh 进入我的机器

Question 1

“ESTABLISHED”只是表示在TCP层建立了连接；它不会告诉您有关他们是否已通过身份验证的任何信息。一般顺序是：

如果有人对您进行密码猜测攻击，并且您碰巧在他们尝试密码时进行了检查，您将看到“已建立”连接。如果它们在尝试之间没有延迟（即，一旦一次连接尝试失败，就重新连接并重试），那么您几乎总是会看到“已建立”连接。

另一方面，如果您看到相同的连接保持一段时间（即相同的远程 IP 和端口号，而不是不断更改端口号），那么要么有人进入，要么他们已经磨蹭了很长时间密码猜测之间。在这种情况下，你应该担心。

但如果您真的想知道发生了什么，请检查日志！（正如 Ipor Sircer 在评论中所说。）除非攻击者已经擦除了它们，否则它们将比仅仅查看 TCP 连接提供更多信息。

另外，由于您受到攻击（这是自动的，因为您的 ssh 暴露在互联网上），请确保您的 ssh 服务是正确锁定！禁用root登录，限制可以登录的用户，确保使用难以猜测的密码，并且（如果可能）禁用密码以支持公钥身份验证。

Answer

“ESTABLISHED”只是表示在TCP层建立了连接；它不会告诉您有关他们是否已通过身份验证的任何信息。一般顺序是：

如果有人对您进行密码猜测攻击，并且您碰巧在他们尝试密码时进行了检查，您将看到“已建立”连接。如果它们在尝试之间没有延迟（即，一旦一次连接尝试失败，就重新连接并重试），那么您几乎总是会看到“已建立”连接。

另一方面，如果您看到相同的连接保持一段时间（即相同的远程 IP 和端口号，而不是不断更改端口号），那么要么有人进入，要么他们已经磨蹭了很长时间密码猜测之间。在这种情况下，你应该担心。

但如果您真的想知道发生了什么，请检查日志！（正如 Ipor Sircer 在评论中所说。）除非攻击者已经擦除了它们，否则它们将比仅仅查看 TCP 连接提供更多信息。

另外，由于您受到攻击（这是自动的，因为您的 ssh 暴露在互联网上），请确保您的 ssh 服务是正确锁定！禁用root登录，限制可以登录的用户，确保使用难以猜测的密码，并且（如果可能）禁用密码以支持公钥身份验证。

Question 2

ESTABLISHED表示tcp套接字处于已建立状态，即连接当前处于活动状态。

套接字tcp元组是：

(my.machine.ip.add:ssh, 116.31.116.48:43270)

其中本地端点是my.machine.ip.add:ssh，远程端点是116.31.116.48:43270。

因此，ssh客户端肯定116.31.116.48已连接到ssh您计算机的服务。

Answer

ESTABLISHED表示tcp套接字处于已建立状态，即连接当前处于活动状态。

套接字tcp元组是：

(my.machine.ip.add:ssh, 116.31.116.48:43270)

其中本地端点是my.machine.ip.add:ssh，远程端点是116.31.116.48:43270。

因此，ssh客户端肯定116.31.116.48已连接到ssh您计算机的服务。

相关内容